CARTA A LA DIRECTORA

 

Estudio sobre la importancia y la seguridad de uso de las contraseñas en el ámbito laboral sanitario

Study of the importance and security level of passwords in the healthcare setting

 

 

Dirección para correspondencia

 

 

Sra. Directora:

La seguridad de las contraseñas es fundamental en los sistemas de información de cualquier centro asistencial o de salud pública. Un estudio reciente de Verizon informaba de que alrededor del 90% de las brechas de seguridad en 2012 tuvieron su origen en una contraseña por defecto o débil, o bien en una contraseña robada y reutilizada1. Existen importantes obstáculos para recordar una contraseña en un entorno hospitalario: uso infrecuente, complejidad (extensión y composición) y número excesivo de contraseñas que es necesario recordar para desempeñar la labor asistencial2. Estos problemas conducen a contraseñas con múltiples vulnerabilidades: débiles, comunes o evidentes. Sin embargo, se ha prestado escasa atención a la necesidad de formación de los trabajadores en prácticas de seguridad adecuadas3.

Se realizó un estudio para analizar la formación y las buenas prácticas de seguridad de las contraseñas por parte de los trabajadores en el entorno del Hospital General Universitario Reina Sofía de Murcia. Se llevó a cabo una búsqueda sobre buenas prácticas de seguridad y privacidad entre personal sanitario, utilizando bases de datos relacionadas con el ámbito de la salud y la seguridad informática: PubMed, ACM, IEEE y Scirus. Para armonizar las guías y recomendaciones encontradas, se confeccionó el Catálogo de requisitos de buenas prácticas de seguridad de los trabajadores de las organizaciones sanitarias (CAT_BPS)4, que fue utilizado para crear un cuestionario que incluía seis preguntas sobre características demográficas y nueve preguntas específicas relacionadas con la fortaleza y el buen uso de las contraseñas.

De los 205 profesionales consultados, 180 accedieron a participar en el estudio. La edad media de los participantes fue de 45,2 años (desviación estándar: 8,9). Las características sociodemográficas y profesionales relacionadas con la seguridad de las contraseñas se muestran en la tabla 1. Los resultados indicaron que el 62,2% de los participantes tenía una contraseña débil, esto es, su contraseña constaba de nombres de personas, fechas, información personal, o no incluía al menos ocho dígitos, letras minúsculas, mayúsculas, algún número y algún carácter especial. Un 16,0% del total había escrito alguna vez la contraseña en algún lugar fácilmente accesible a terceros, la enviaron por correo electrónico o utilizaron la opción de guardado automático del navegador.

 

Tabla 1. Características de la muestra y porcentaje de participantes con buenas prácticas
de seguridad según las variables sociodemográficas. Asociación entre las variables
sociodemográficas y tener buenas prácticas de seguridad,
con análisis de regresión logística bivariada (N = 180)

OR: odds ratio; IC95%: intervalo de confianza del 95%;
BPS: buenas prácticas de seguridad.

 

Son necesarios una adecuada formación y entrenamiento en el ámbito de la seguridad de las contraseñas en los sistemas de información digital, junto con una normativa y un protocolo de seguridad suficientemente claros, que fijen incentivos y penalizaciones. Una fórmula práctica para obtener una contraseña segura, fácil de recordar y que ha demostrado su eficacia experimentalmente, consiste en utilizar la primera letra de cada palabra de una frase que pueda recordarse con facilidad, alternando mayúsculas y minúsculas, insertando un carácter especial y un número tras cada letra5. Por ejemplo, la frase "soy doctor especializado en neumología", el año 2014 y los caracteres", =, ! y $ (correspondientes a los dígitos 2 0 1 4 del teclado) podrían utilizarse combinados para obtener la contraseña segura "S"2d = 0E!1e$4N".

 

Contribuciones de autoría

J.L. Fernández Alemán contribuyó a la concepción y el diseño del estudio, la recopilación, el análisis y la interpretación de los datos, y la elaboración del manuscrito. A. Sánchez Henarejos, V.M. García Amicis, I. Hernández, A.B. Sánchez García y A. Toval contribuyeron al análisis y la interpretación de los datos, y a la elaboración del manuscrito. Todos los autores han aprobado la versión final del artículo.

 

Financiación

Este trabajo forma parte del proyecto PEGASO-PANGEA (TIN2009-13718-C02-02) financiado por el Ministerio de Ciencia e Innovación, y del proyecto GEODAS-REQ (TIN2012-37493-C03-02) financiado por el Ministerio de Economía y Competitividad, y con fondos europeos FEDER.

 

Conflictos de intereses

Ninguno.

 

Agradecimientos

A Javier Iniesta, del Hospital General Universitario Reina Sofía de Murcia, por su colaboración en la recogida de datos y en la obtención del consentimiento informado. Este trabajo es parte de un estudio más amplio que presenta un catálogo de buenos hábitos de seguridad informática para profesionales sanitarios y un método para evaluar el cumplimiento de la normativa de protección de datos, que fue galardonado con un accésit en la categoría de investigación de los Premios de Protección de Datos de 2013 de la Agencia Española de Protección de Datos.

 

José Luis Fernández-Alemána, Ana Sánchez-Henarejosa, Víctor Manuel García-Amicisa,
Ambrosio Tovala, Ana Belén Sánchez-Garcíab y Isabel Hernández-Hernándezb

a Departamento de Informática y Sistemas, Facultad de Informática, Universidad de Murcia, Murcia, España
b Hospital General Universitario Reina Sofía, Murcia, España

 

Bibliografía

1. Lemos R. Targeted attacks, weak passwords top IT security risks in 2013, eWeek. (Consultado el 04/02/14.) Disponible en: http://www.eweek.com/security/targeted-attacks-weak-passwords-top-it-security-risks-in-2013/.         

2. Fernando JI, Dawson LL. The health information system security threat lifecycle: an informatics theory. Int J Med Inform. 2009;78:815-26.         

3. Fernández-Alemán JL, Senor IC, Lozoya PA, et al. Security and privacy in electronic health records: a systematic literature review. J Biomed Inform. 2013;46:541-62.         

4. Sánchez-Henarejos A, Fernández-Alemán JL, Toval A, et al. Guía de buenas prácticas de seguridad informática en el tratamiento de datos de salud para el personal sanitario en atención primaria. Aten Primaria. 2014;46:214-22.         

5. Vu K-PL, Proctor RW, Bhargav-Spantzel A, et al. Improving password security and memorability to protect personal and organizational information. Int J Hum Comput St. 2007;65:744-57.         

 

 

Dirección para correspondencia:
Correo electrónico: aleman@um.es
(J.L. Fernández-Alemán).

Ediciones Doyma, S.L. Barcelona - Barcelona - Spain
E-mail: gs@elsevier.com